Ulkoministeriö / Utrikesministeriet

UM: Ulkoministeriön yhteisöllinen tietoturvatestaus onnistui – bug bounty -ohjelmasta pysyvä testausmuoto

Jaa

Ulkoministeriö järjesti yhteisöllisen tietoturvatestauksen julkisille verkkopalveluilleen joulukuun 2019 ja toukokuun 2020 välillä. Tässä tietoturvahaavoittuvuuksien palkkionmetsästys- eli bug bounty -ohjelmassa tietoturvatutkijoille ja hakkereille annettiin sääntöjen puitteissa mahdollisuus tutkia valittujen kohteiden tietoturvallisuutta internetistä käsin. Kohdejärjestelmien suojauksia ei avattu projektin ajaksi.

Kohteina olivat ulkoministeriön verkkopalvelut um.fimatkustusilmoitus.fi ja vaarinkayttoilmoitus.fi.
Näihin internetissä tarjolla oleviin palveluihin kohdistuu joka tapauksessa luvattomia murtoyrityksiä, joten ulkoministeriö halusi kannustaa laillisesti toimivia hakkereita tutkimaan palveluita ja raportoimaan havainnoistaan palkkiota vastaan.

”Hanke oli hyödyllinen ja innostava. Se oli myös poikkeuksellisen avoin, sillä useimmat ulkoministeriön tietoturvallisuuden kehityshankkeet eivät ole julkisia”, toteaa tietoturvapäällikkö Antti Savolainen.

Ohjelmaan osallistui 30 hakkeria Suomesta, Intiasta ja Argentiinasta. Nämä toimittivat yhteensä yli 100 haavoittuvuusraporttia, joista 32 osalta maksettiin palkkio. Palkkioita maksettiin yhteensä noin 10 000 euroa. Palkkioista suurin, 3 000 euroa maksettiin raportista, joka osoitti mahdollisuuden julkaista luvatta omia videoita ulkoministeriön verkkosivuilla. Raportoidut tietoturva-aukot korjattiin ohjelman yhteydessä.

Ulkoministeriö hankki ensimmäisen bug bounty -ohjelmansa Hackrfi-yritykseltä. Pilottiohjelma onnistui suunnitellulla tavalla, ja menetelmä on päätetty vakinaistaa osaksi ulkoministeriön tietoturvallisuuden testausohjelmaa. Testausohjelman kumppanin julkinen hankinta käynnistyy lokakuussa 2020.

”Mielestäni on hienoa, että ulkoministeriö avasi rohkeasti sivustonsa tietoturvatutkijoiden testattavaksi. Tietoturva on yhteistyötä ja paras lopputulos saavutetaan silloin kun monta silmäparia on tutkimassa samaa kokonaisuutta”, painottaa testauksessa mukana ollut hakkeri Laura Kankaala.

Lisätietoja: Tietoturvapäällikkö Antti Savolainen, p. 0295 351 425, sähköposti: antti.j.savolainen@formin.fi

Avainsanat

Liitteet

Linkit

Tietoja julkaisijasta

Ulkoministeriö / Utrikesministeriet
Ulkoministeriö / Utrikesministeriet
Kanavakatu 3 C, PL 481
00023 Valtioneuvosto

0295 350 000http://um.fi

Tilaa tiedotteet sähköpostiisi

Haluatko tietää asioista ensimmäisten joukossa? Kun tilaat mediatiedotteemme, saat ne sähköpostiisi välittömästi julkaisuhetkellä. Tilauksen voit halutessasi perua milloin tahansa.

Lue lisää julkaisijalta Ulkoministeriö / Utrikesministeriet

Uutishuoneessa voit lukea tiedotteitamme ja muuta julkaisemaamme materiaalia. Löydät sieltä niin yhteyshenkilöidemme tiedot kuin vapaasti julkaistavissa olevia kuvia ja videoita. Uutishuoneessa voit nähdä myös sosiaalisen median sisältöjä. Kaikki tiedotepalvelussa julkaistu materiaali on vapaasti median käytettävissä.

Tutustu uutishuoneeseemme